Comment vérifier les antécédents d'un candidat légalement en France ? Cadre RGPD, CNIL, Code du travail, 6 vérifications autorisées et ce qui est interdit.
En France, vérifier les antécédents d'un candidat est une pratique courante mais très encadrée. Selon une étude HireRight de 2023, 72 % des employeurs ayant conduit des vérifications ont détecté au moins une inexactitude dans un dossier de candidature. Pourtant, la majorité des entreprises françaises ignorent les limites légales imposées par le Code du travail, le RGPD et la doctrine CNIL. Ce guide vous explique exactement ce que vous avez le droit de vérifier, comment le faire de manière conforme, et quand faire appel à un professionnel — sans vous exposer à des sanctions.
Vérifier les antécédents d'un candidat ne se résume pas à googler son nom : c'est un processus structuré, fondé sur le principe de proportionnalité et de finalité définis par le RGPD (Règlement UE 2016/679).
Trois textes régissent la vérification des antécédents en droit français. L'article L. 1221-6 du Code du travail dispose que les informations demandées au candidat doivent avoir un lien direct et nécessaire avec le poste. La loi Informatique et Libertés du 6 janvier 1978 (modifiée) impose des obligations de transparence et de minimisation des données. Le RGPD, applicable depuis mai 2018, ajoute le principe de proportionnalité et l'obligation de base légale pour chaque traitement.
La CNIL a précisé dans ses lignes directrices (délibération 2002-017 et recommandations 2024) que le recruteur ne peut collecter que les données strictement nécessaires à l'évaluation des aptitudes professionnelles du candidat. Toute collecte excessive expose l'employeur à des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial (article 83 RGPD).
Certaines catégories de données sont formellement exclues du processus de recrutement. Le casier judiciaire (bulletin B2 ou B3) est inaccessible à un employeur privé, sauf habilitation légale expresse (secteur bancaire via article L. 500-1 Code monétaire et financier, garde d'enfants, etc.). Les données de santé, d'origine ethnique, de religion, d'appartenance syndicale, d'orientation sexuelle ou de situation de famille sont strictement interdites en application de l'article 9 du RGPD. Interroger un candidat ou chercher à connaître ces informations via des tiers constitue une discrimination passible de 3 ans d'emprisonnement et 45 000 € d'amende (article 225-1 du Code pénal).
La vérification des diplômes est la vérification la plus légitime et la plus fréquemment omise. Selon une étude de Background Screener (2022), 31 % des candidats en France embellissent ou falsifient leur niveau d'études. Le service France Connect et le répertoire national des certifications professionnelles (RNCP), géré par France Compétences, permettent de vérifier toute certification enregistrée gratuitement. Pour les diplômes universitaires, l'établissement délivrant le diplôme peut confirmer son authenticité sur demande écrite du candidat (qui transmet ensuite la confirmation à l'employeur).
Demandez systématiquement les diplômes originaux et autorisez le candidat à solliciter lui-même la confirmation auprès de son établissement — cela évite tout traitement de données de votre côté.
Contacter les anciens employeurs est légal dès lors que le candidat a consenti et fourni les coordonnées des référents. L'article L. 1221-8 du Code du travail rappelle que le candidat doit être informé de toute collecte d'informations le concernant. Les questions posées aux référents doivent porter exclusivement sur les compétences professionnelles, les missions exercées et la durée d'emploi — jamais sur des motifs de départ, des conflits internes ou la vie personnelle.
Préparez un questionnaire structuré limité à 5 ou 6 questions fermées, documentez les réponses et conservez-les le temps strictement nécessaire au processus de recrutement.
La consultation de LinkedIn, Viadeo ou d'un portfolio public est légale, car le candidat a volontairement rendu ces informations publiques dans un contexte professionnel. La CNIL admet cette pratique sous réserve que les informations recueillies soient pertinentes pour le poste et que le candidat en soit informé. En revanche, toute discordance entre le CV papier et le profil LinkedIn (dates d'emploi, postes occupés, employeurs) doit être clarifiée lors de l'entretien, pas exploitée comme motif implicite de refus.
Documentez dans votre CRM quelles sources publiques ont été consultées et à quelle date, afin de pouvoir justifier votre traitement en cas de contrôle CNIL.
Un candidat qui déclare avoir exercé une activité indépendante peut être vérifié gratuitement via le Registre National des Entreprises (RNE, anciennement Sirene) sur le portail annuaire-entreprises.data.gouv.fr. Infogreffe (greffe du tribunal de commerce) permet de consulter les statuts, les comptes annuels déposés et d'éventuelles procédures collectives (redressement, liquidation). Cette vérification est particulièrement utile pour les postes impliquant une gestion financière ou une responsabilité de dirigeant.
Vérifiez également si la société est encore active ou a été radiée : un candidat qui présente une activité indépendante terminée prématurément mérite une explication factuelle lors de l'entretien.
Pour un poste de consultant, expert ou porte-parole, la production intellectuelle publique (articles de blog, conférences, podcasts, publications académiques) est une source de vérification légitime des compétences déclarées. Google Scholar, HAL (archive ouverte française), ResearchGate ou les moteurs de conférences sectorielles permettent de croiser les données déclarées avec la réalité. Évitez de consulter des contenus qui, bien que publics, révèlent des opinions politiques, religieuses ou des données de santé.
Limitez votre recherche aux termes directement liés au domaine professionnel : nom + secteur + type de publication.
Certains métiers imposent des habilitations officielles : habilitation électrique (NF C 18-510), certification AMF pour les conseillers financiers, accréditation COFRAC pour les laboratoires, carte professionnelle pour les détectives privés (Conseil national des activités privées de sécurité, CNAPS). Ces habilitations sont vérifiables directement auprès des organismes certificateurs. Le CNAPS, par exemple, dispose d'un registre public en ligne pour les agents de sécurité privée (article L. 611-1 du Code de la sécurité intérieure).
Conservez une trace de la vérification dans le dossier de recrutement pour justifier la diligence raisonnable de l'entreprise.
Accéder au casier judiciaire d'un candidat sans habilitation légale est un délit pénal (article 226-22 du Code pénal). Créer un faux profil sur les réseaux sociaux pour accéder aux publications privées d'un candidat constitue une usurpation d'identité (article 226-4-1 du Code pénal), potentiellement doublée d'une atteinte à la vie privée. Interroger le candidat sur sa situation de famille, son état de santé ou ses convictions religieuses lors de l'entretien est une discrimination directe.
Consulter les profils Facebook, Instagram ou TikTok personnels d'un candidat est une pratique à risque élevé. Même si le profil est techniquement public, les informations recueillies (photos de famille, opinions politiques, état de santé apparent) dépassent le cadre professionnel et pourraient fonder, même inconsciemment, une décision discriminatoire. La CNIL a rappelé dans son rapport annuel 2023 que ce type de consultation doit rester exceptionnel, documenté et limité aux éléments strictement professionnels.
Faire appel à un tiers non habilité (une connaissance commune, un concurrent) pour obtenir des informations sur un candidat constitue une collecte déloyale contraire à l'article 5 du RGPD.
Pour les postes à haute responsabilité (directeur financier, responsable sécurité, accès à des données sensibles) ou les recrutements dans des secteurs réglementés (banque, assurance, défense), une vérification approfondie par un professionnel agréé peut être justifiée. Les détectives privés exercent sous le régime légal de la loi du 12 juillet 1983 (codifiée aux articles L. 621-1 et suivants du Code de la sécurité intérieure) et disposent d'une carte professionnelle délivrée par le CNAPS. Ils peuvent légalement mener des enquêtes sur la réputation professionnelle, les antécédents judiciaires accessibles publiquement (presse, décisions de justice publiées) et la cohérence d'un parcours déclaré.
Même mandatée, une agence de détective ne peut pas accéder au casier judiciaire, intercepter des communications ou pénétrer dans des espaces privés. Son rapport doit se limiter aux informations légalement accessibles. Le recruteur reste responsable du traitement des données transmises par l'agence et doit s'assurer que le candidat a été informé de cette démarche.
VériSources recense des agences de détective et d'enquête professionnelle vérifiées partout en France dans son annuaire des agences OSINT. Vous pouvez également consulter notre guide sur les enquêtes sur les personnes pour comprendre les méthodes légales disponibles.
Étape 1 — Information préalable : Mentionnez dans l'offre d'emploi ou lors du premier contact que des vérifications seront conduites. Intégrez une clause dans votre politique de recrutement (article 13 RGPD).
Étape 2 — Consentement documenté : Pour toute vérification auprès de tiers (référents, organismes certificateurs), recueillez le consentement écrit du candidat. Ce consentement doit être libre, spécifique et révocable.
Étape 3 — Proportionnalité : Chaque vérification doit être justifiée par les exigences du poste. Un poste de développeur junior ne justifie pas les mêmes vérifications qu'un poste de directeur général.
Étape 4 — Conservation limitée : Les données collectées doivent être supprimées à l'issue du processus de recrutement (en général 2 ans après le dernier contact pour les candidats non retenus, selon la recommandation CNIL de 2024). Pour le candidat retenu, les données intègrent le dossier RH et suivent la politique de conservation des données salariés.
Le RGPD oblige toute organisation à maintenir un registre des traitements (article 30). Le processus de vérification des candidats doit y figurer avec la base légale retenue (intérêt légitime ou obligation légale), les catégories de données, les destinataires et les durées de conservation. En cas de contrôle CNIL, ce registre est le premier document demandé.
Peut-on demander un extrait de casier judiciaire à un candidat ? Non, dans la très grande majorité des cas. Seuls certains employeurs expressément habilités par la loi peuvent exiger un extrait de casier judiciaire (B3 pour les emplois auprès de mineurs, certains postes financiers, secteur de la sécurité privée). Un employeur lambda qui demanderait cette pièce s'exposerait à une infraction pénale et à un redressement URSSAF en cas de contentieux sur la rupture de contrat.
Peut-on vérifier si un candidat est fiché à la Banque de France ? Non. Le Fichier National des Incidents de remboursement des Crédits aux Particuliers (FICP) et le Fichier Central des Chèques (FCC) sont réservés aux établissements de crédit habilités. Accéder à ces fichiers sans habilitation constitue un délit d'accès frauduleux à un système de traitement automatisé de données (article 323-1 du Code pénal).
Un candidat peut-il refuser les vérifications de diplômes ? Oui, mais cela peut légitimement conduire à son élimination du processus, à condition que la vérification soit annoncée dès le départ et justifiée par le poste. Le refus de produire des pièces justificatives d'une information déclarée peut être considéré comme un manque de transparence. En revanche, le recruteur ne peut pas conduire la vérification sans le consentement ou la coopération du candidat.
Les tests de personnalité ou psychométriques sont-ils légaux ? Oui, à condition d'avoir un lien direct avec le poste, d'avoir été validés scientifiquement, et que le candidat en soit informé à l'avance (article L. 1221-8 du Code du travail). Les résultats doivent être traités confidentiellement et ne peuvent pas être transmis à des tiers sans accord. Le candidat a le droit de connaître ses résultats (droit d'accès, article 15 RGPD).
Combien de temps peut-on conserver le dossier de candidature d'un candidat non retenu ? La CNIL recommande une durée maximale de 2 ans à compter du dernier contact avec le candidat, sauf accord exprès de sa part pour être contacté ultérieurement. Au-delà, les données doivent être supprimées ou anonymisées. Cette règle s'applique aux CV, lettres de motivation, résultats de tests et notes d'entretien.
Peut-on vérifier les réseaux sociaux personnels d'un candidat ? La consultation de profils strictement privés est interdite. Pour les profils publics (LinkedIn, Twitter/X professionnel, blog), la consultation est tolérée si elle reste limitée aux informations professionnelles et si le candidat en est informé. Toute information révélant une donnée sensible (santé, religion, opinions politiques) recueillie lors de cette consultation doit être ignorée et ne peut fonder aucune décision.
Quelles sanctions encourt un employeur qui réalise des vérifications illégales ? Les sanctions sont cumulables : amende CNIL jusqu'à 20 millions d'euros ou 4 % du CA mondial (RGPD) ; sanctions pénales pour discrimination (3 ans / 45 000 €) ; nullité du licenciement si le motif est fondé sur des données illégalement collectées ; dommages et intérêts au candidat lésé sur le fondement de l'article 1240 du Code civil. En 2023, la CNIL a prononcé 42 mises en demeure liées au recrutement et 8 sanctions financières.
Vérifier les antécédents d'un candidat de manière légale et efficace en 2026 repose sur trois principes non négociables :
Pour aller plus loin dans la vérification de l'identité et du parcours d'une personne, explorez notre guide complet sur les enquêtes légales concernant les personnes, parcourez notre annuaire des agences d'enquête professionnelle ou consultez l'ensemble de nos guides OSINT pratiques. VériSources vous accompagne pour sécuriser vos recrutements sans risque juridique.
Nouvelles méthodes OSINT, alertes arnaques et analyses — chaque semaine dans votre boîte mail.